Venafi の統合

NSX Advanced Load Balancer をセットアップして Venafi Trust Protection Platform™ と統合し、SSL および TLS 証明書のライフサイクル管理を自動化できます。すべての証明書は、TPP を通じて保護および制御されます。このプロセスは、NSX Advanced Load Balancer Controller に対して透過的です。

注：

Venafi の最小リリースは Trust Protection Platform 16.3 です。

構成

Venafi Trust Protection Platform は、SSL 証明書とキーの作成と更新など、すべての通信に NSX Advanced Load Balancer REST API を利用します。 NSX Advanced Load Balancer では、構成変更は必要ありません。TPP には、ユーザー名、パスワード、およびコントローラの IP アドレスが必要です。コントローラがフローティング Controller クラスタ IP アドレスで構成されている場合は、このアドレスを使用する必要があります。フローティング IP アドレスが構成されていない場合は、任意のコントローラの IP アドレスを使用できます。

Trust Protection Platform の構成に関するヘルプについては、Venafi サポートチームにお問い合わせください。必要なドライバの最新バージョンと TPP 構成の手順をチームから入手できます。

ワークフロー

新しいアプリケーションを作成するか、新しい SSL/TLS 証明書が必要な場合は、次のワークフローを使用します。

Trust Protection Platform から、NSX Advanced Load Balancer の新しい証明書を作成します。バックグラウンドでは、以下が発生します。
- TPP は、NSX Advanced Load Balancer で CSR を生成してインポートするために必要な API 呼び出しを送信します。
- TPP は、構成された認証局に CSR を転送します。
- TPP は、CA から署名付き証明書とキーを受け取ります。
- TPP は、必要なチェーン証明書とともに、証明書とキーを NSX Advanced Load Balancer にプッシュします。

NSX Advanced Load Balancer から、新しいアプリケーション仮想サービスを作成し、証明書を添付します。
コントローラが受信した証明書に対する以降の更新は、証明書を使用するサービスエンジンに自動的かつ透過的にプッシュされます。
TPP は、仮想サービス名と証明書のマッピングを学習します。証明書とチェーン証明書の更新が自動的に処理されます。

IP アクセス

ベストプラクティスとして、NSX Advanced Load Balancer 管理ユーザーインターフェイスを既知の IP アドレスにロックダウンできます。これを行った場合は、Trust Protection Platform の送信元 IP アドレスを、管理アクセス用の NSX Advanced Load Balancer の allowed-IP リストに含めてください。

管理者アクセス

TPP は、必要なテナントの SSL/TLS 証明書への書き込みアクセス権を持つ任意の管理者アカウントを使用できます。ベストプラクティスは、SSL/TLS 証明書の書き込みアクセスのみを有効にして、SSL 管理用の新しいロールを作成することです。このロールにマッピングされた新しい管理者アカウントを作成します。これにより、このアカウントの公開が制限され、より良い監査ログが提供されます。

オンボーディング検出

オンボーディング検出機能を使用して、ネットワークデバイスから Trust Protection Platform に証明書をインポートするプロセスを自動化し、証明書をモニタリング、検証、およびプロビジョニングすることができます。

SSL をサポートするコントローラで仮想サービスをセットアップし、Venafi TPP に空白のセットアップまたは古い構成がある場合、オンボーディング検出ジョブを使用して、事前に定義されたパラメータ値で Venafi TPP の仮想サービスに対応する証明書とアプリケーションオブジェクトを生成できます。これにより、検出手順の直後にプロビジョニングが可能になります。このジョブは、Venafi TPP から定期的に自動的に実行できます。

プロビジョニング中

プロビジョニングとは、Venafi TPP の NSX Advanced Load Balancer 適応型アプリケーションに添付された証明書を、適応型アプリケーションのパラメータに基づいて、対応するテナントの対応する仮想サービスにプッシュするプロセスです。プロビジョニングは、Venafi TPP で証明書が更新されると自動的にトリガされます。

プロビジョニングには次の 2 つのタイプがあります。

中央
- 中央プロビジョニングでは、Venafi は証明書の生成を完全に処理するため、プッシュ中に証明書の準備が完了しています。
- 新しい証明書は、[<Common Name><Valid To as yyMMMdd><Last 4 of Serial>] という命名規則でコントローラにアップロードされます。
リモート
- リモートプロビジョニングでは、CSR は NSX Advanced Load Balancer によって生成され、API 呼び出しを使用して Venafi にインポートされます。その後、Venafi によって証明書の生成に使用されます。
- 新しい証明書は、[<Common Name>RGEN<Current Date/Time as yyMMdd-HHmmss>] という命名規則でコントローラにアップロードされます。

新しいアプリケーションを作成するか、新しい SSL/TLS 証明書が必要な場合は、次のワークフローを使用します。

Trust Protection Platform から、NSX Advanced Load Balancer の新しい証明書を作成します。バックグラウンドでは、以下が発生します。
- TPP は、NSX Advanced Load Balancer で CSR を生成してインポートするために必要な API 呼び出しを送信します。
- TPP は、構成された認証局に CSR を転送します。
- TPP は、CA から署名付き証明書とキーを受け取ります。
- TPP は、必要なチェーン証明書とともに、証明書とキーを NSX Advanced Load Balancer にプッシュします。
NSX Advanced Load Balancer から、新しいアプリケーション仮想サービスを作成し、証明書を添付します。
コントローラが受信した証明書に対する以降の更新は、証明書を使用するサービスエンジンに自動的かつ透過的にプッシュされます。
TPP は、仮想サービス名と証明書のマッピングを学習します。証明書とチェーン証明書の更新が自動的に処理されます。